看板 PC_Shopping
作者
標題 [閒聊] 原價屋你家網站漏水啦==
時間 Sun Oct 18 21:55:07 2020
作者
標題 [閒聊] 原價屋你家網站漏水啦==
時間 Sun Oct 18 21:55:07 2020
最近身邊懂一些資安的朋友發現這個
https://zeroday.hitcon.org/vulnerability/ZD-2020-00002
原價屋 多個漏洞 - HITCON ZeroDay
多個漏洞 ...
多個漏洞 ...
結果光是第一個 LFI 網站漏洞直到現在都還沒修 笑死
LFI 漏洞 可以藉由網頁讀取伺服器上的任意文字檔
包含伺服器設定檔、網站程式的 php 檔
所以我只要知道伺服器設定檔在哪裡
我真的可以知道...等等我怕被吉 QQ
所以原價屋快修漏洞嗎==
你不修漏洞我以後就叫你漏水屋
而且漏洞都被公開了
------
聽說在這邊反應問題會比較快(?
跟電蝦板關聯有點薄弱但大家還是要注意一下
以後在購物之前可以先去看一下上面網站
看一下該網站有沒有漏洞
畢竟我想大家都不希望自己的個資變成別人的報酬
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 140.134.226.20 (臺灣)
※ 文章代碼(AID): #1VZ4b01F (PC_Shopping)
※ 文章網址: https://www.ptt.cc/bbs/PC_Shopping/M.1603029312.A.04F.html
推 : 買新的1F 10/18 21:58
→ : 他的網站主機確實是可以買新的了 (?2F 10/18 21:59
→ : 修漏洞好像比改價格的速度慢3F 10/18 21:59
無論漲價或跌價(推 : 不只伺服器買新的以外,連相關人員都要買新的4F 10/18 22:00
先通通去罰站※ 編輯: Arbin (140.134.226.20 臺灣), 10/18/2020 22:03:53
推 : 居然還有開ftp port5F 10/18 22:05
→ : ftp port 有開非常奇怪 雖然我沒有試他現在關了沒6F 10/18 22:06
推 : 電蝦是最大客服,但有包含漏洞檢舉嗎?7F 10/18 22:08
→ : 來這邊才會加速啊8F 10/18 22:08
推 : 可以zeroday了9F 10/18 22:09
推 : 好慘啊漏水屋,好險目前沒出啥大事...10F 10/18 22:10
→ : 原價屋都被Chrome分類到「不安全或危險」好幾個月了w11F 10/18 22:12
→ : 還好啦,這家都是電話確認訂單,無線上金流,沒啥差13F 10/18 22:12
推 : =../../../../../../../../../../etc/passwd
passwd檔案都看的到xddd14F 10/18 22:14
passwd檔案都看的到xddd14F 10/18 22:14
推 : 個資屋16F 10/18 22:14
推 : 用CHROME進不去的網站不意外17F 10/18 22:17
→ : 真的幾個月前用chrome要進原價屋就在擋了XD18F 10/18 22:18
→ : 有擋?都進得去啊?19F 10/18 22:22
推 : 他又不存信用卡有金流20F 10/18 22:23
→ : 但你電話住址還是會噴啊
網站設定檔外洩也會增加入侵風險21F 10/18 22:31
網站設定檔外洩也會增加入侵風險21F 10/18 22:31
推 : copy他的頁面到另一台vps上 放一個跳轉js在原來頁面改掉收費資訊的方式 看會不會有傻刁直接付款XD23F 10/18 22:33
推 : 有沒有何時降價的漏洞25F 10/18 22:34
→ : 沒有降價的漏洞 QQ
然後 LFI 是真的有辦法 copy 頁面出來26F 10/18 22:40
然後 LFI 是真的有辦法 copy 頁面出來26F 10/18 22:40
推 : 電蝦居然有人在看Hitcon,佩服28F 10/18 22:44
推 : 大概網站整套都是外包的 買新的沒錯29F 10/18 22:51
→ : 有錢就是任信30F 10/18 22:53
推 : 他又沒金流 沒甚麼好擔心的
FTP為什麼會有命題老師之類的東西啦XD31F 10/18 22:54
FTP為什麼會有命題老師之類的東西啦XD31F 10/18 22:54
→ : 相信我 他們不會修 賭1P33F 10/18 23:03
→ : 不知道 FTP 裡面的檔案感覺很鬧 XD
不會修那他的主機就要變成 CTF 靶機了 (?34F 10/18 23:03
不會修那他的主機就要變成 CTF 靶機了 (?34F 10/18 23:03
→ : 這資料外洩是原價屋的客人GG啊36F 10/18 23:11
推 : 難怪他轉到蝦皮,就算關官網也還可以正常營運37F 10/18 23:17
→ : 所以會洩漏訂單嗎 我還記得我以前在哪家買零件,過幾小時就打來說我的訂單設定錯誤要去atm操作,我買的東西跟他說的一樣。我都稱之為資料庫位置給人家dump出去的一清二楚。38F 10/18 23:17
推 : 實驗過程都公開在上面還算0日嗎…42F 10/18 23:22
推 : 他們家沒人懂這個,反正可以動就好了43F 10/18 23:22
推 : 傻眼 3月就通知 還不修復44F 10/18 23:22
推 : 反正是客人的個資,老闆沒虧錢就不在意45F 10/18 23:26
推 : 沒事不要亂試46F 10/18 23:30
推 : 那個三十年前的介面 呵47F 10/18 23:33
推 : 再問下去萬一關起來就變要排隊才能現場查價了(誤XD48F 10/18 23:34
推 : 他們家網站有論壇功能 而且我好像有註冊過 幹...49F 10/18 23:36
推 : 幾個月前ssl憑證過期後還直接把全站ssl都拿掉惹,中間你傳了啥都馬看的一清二楚了50F 10/18 23:37
→ : 這0日會公開就是因為通報三個月公開了
這漏洞有機會挖到__________ 別亂戳(
喔幹我後悔講這句化了52F 10/18 23:46
※ 編輯: Arbin (140.134.226.20 臺灣), 10/18/2020 23:49:23這漏洞有機會挖到__________ 別亂戳(
喔幹我後悔講這句化了52F 10/18 23:46
→ : 用lets encrypt簽個SSL是有多懶55F 10/18 23:58
推 : 老闆荷包滿滿,然後省這些資安成本,呵呵56F 10/19 00:00
→ : 不PO過來就是繼續擺爛吧.從1月拖到現在...57F 10/19 00:12
推 : admin/admin58F 10/19 00:12
→ : 用Firefox瀏覽罰站屋常常在憑證過期...59F 10/19 00:15
推 : 看來還是現場罰站下單安全嗎60F 10/19 00:39
--
作者 Arbin 的最新發文:
- 19F 11推
- 77F 16推 1噓
- 2F 2推
![]()
可能很腿 就是最近推出的尊絕不凡(?)金勾勾 最近推特直接在左邊顯示按鈕,點進去看可以知道有啥好處 價格的話 每個組織 1000 美元,大約台幣 30K 組織底下掛帳號,每掛一隻多 50 美元,大約 …45F 27推- 話說這種事情是不是快要變成例行公事了 已經要變成西洽循環了吧== 1. 各種Vtuber文佔據洽文類型很大比例 2. 當中還是有廢文,畢竟西洽本質就是這樣 和平時期樂子人通常戳不太起來,路人維持路人狀 …108F 32推 4噓
點此顯示更多發文記錄